本发明专利技术实施例公开了一种内网访问方法和系统,内网访问方法包括:网关接收网页端发送的访问请求,访问请求包括内网访问地址、网页端身份信息和第一签名,第一签名是根据网页端身份信息生成的;网关对网页端身份信息和第一签名分别进行安全认证;如果网页端身份信息和第一签名均安全认证通过,则允许网页端访问内网访问地址。本发明专利技术具有如下优点:在网页端和内网上的业务之间设置网关,通过网关可以实现内网隐身,使黑客难以攻击内网,重塑企业的安全边界,减少不必要的安全开支;此外,通过对网页端的访问请求的第一签名进行验证,可以有效防止网页端身份信息被篡改;用户可以像访问互联网一样,流畅地访问企业内网。
Intranet access methods and systems
【技术实现步骤摘要】
内网访问方法和系统
本专利技术涉及网络安全
,具体涉及一种内网访问方法和系统。
技术介绍
企业IT架构正在从“有边界”向“无边界”转变。过去企业IT基础设备及用户办公都是在企业内网,企业IT架构是有边界的。在移动化和云化的大背景下,越来越多的企业用户开始使用云应用、使用移动设备进行移动办公,企业IT基础设施及用户办公的内外边界逐步模糊,企业IT架构正在从“有边界”向“无边界”进行转变。这样会导致业务和人都离开了内网。其中,业务是指越来越多的业务系统上云,企业的网络环境也越来越复杂;人离开内网是指随着企业云化、移动化将会有越来愈多的企业用户不在企业防火墙内进行办公,员工更愿意使用自己的设备办公,企业之间的连接越来越多,供应商、合作伙伴需要访问公司的内网来查看订单或提交销售数据。目前,则是采用虚拟专用网络(VirtualPrivateNetwork,VPN)访问内网。当前采用VPN会存在以下几个问题:1.高风险:VPN会将整个内网暴露给用户,一旦某个用户被攻陷,整个内网都陷入危险;VPN可以保护内网业务系统,但VPN自身的IP、DNS一旦泄露,则极易遭到网络攻击。2.体验差:用户在打开应用前,必须打开VPN,才能顺利访问内网;常常要关闭VPN才能访问互联网。3.灵活性差:如果企业有多个数据中心,企业将不得不购买多套昂贵的VPN设备。而且多套VPN对管理员和用户来说使用都不灵活。4.高复杂度:传统的安全产品是基于IP来配置安全策略的。通常要配置几百条上千条规则,才能形成完善的防护。5.无法管理终端安全:浏览器的安全和终端的安全是传统安全产品的一个盲点。严密保护的敏感数据可能在“最后一公里”被窃取。因此需要一种安全访问方案。
技术实现思路
为此,本专利技术实施例提供一种内网访问方法和系统,用户可以安全便捷的访问内网的业务。为了实现上述目的,本专利技术实施例提供如下技术方案:本专利技术第一方面的实施例公开了一种内网访问方法,包括:网关接收网页端发送的访问请求,所述访问请求包括内网访问地址、网页端身份信息和第一签名,所述第一签名是根据所述网页端身份信息生成的;所述网关对所述网页端身份信息和所述第一签名分别进行安全认证;如果所述网页端身份信息和所述第一签名均安全认证通过,则允许所述网页端访问所述内网访问地址。进一步地,所述网关对所述网页端身份信息进行安全认证,包括:所述网关将所述网页端身份信息与预存的合法身份信息进行匹配,如果匹配成功,则所述网关对所述网页端身份信息的安全认证通过。进一步地,所述第一签名是所述网页端使用哈希消息认证码hmac加密算法对所述网页端身份信息进行加密得到的,所述网关对所述第一签名进行安全认证,包括:所述网关根据所述hmac加密算法根据所述网页端身份信息进行加密得到第二签名;如果所述第一签名与所述第二签名一致,则所述网关对所述第一签名的安全认证通过。进一步地,还包括:所述网页端对所述访问请求使用数据加密标准DES加密方法加密所述访问请求;所述网关使用所述DES加密方法对应的解密方法进行解密得到所述访问请求。进一步地,所述网页端身份信息包括所述网页端的硬件身份标识和软件身份标识。本专利技术第二方面的实施例公开了一种内网访问系统,包括:网关,所述网关用于接收网页端发送的访问请求,所述访问请求包括内网访问地址、网页端身份信息和第一签名,所述第一签名是根据所述网页端身份信息生成的;所述网关还用于对所述网页端身份信息和所述第一签名分别进行安全认证,如果所述网页端身份信息和所述第一签名均安全认证通过,则允许所述网页端访问所述内网访问地址。进一步地,所述网关具体用于将所述网页端身份信息与预存的合法身份信息进行匹配,如果匹配成功,则所述网关对所述网页端身份信息的安全认证通过。进一步地,所述第一签名是所述网页端使用哈希消息认证码hmac加密算法对所述网页端身份信息进行加密得到的,所述网关具体用于根据所述hmac加密算法根据所述网页端身份信息进行加密得到第二签名,如果所述第一签名与所述第二签名一致,则所述网关对所述第一签名的安全认证通过。进一步地,还包括:所述网页端,用于对所述访问请求使用数据加密标准DES加密方法加密所述访问请求;其中,所述网关还用于使用所述DES加密方法对应的解密方法进行解密得到所述访问请求。进一步地,所述网页端身份信息包括所述网页端的硬件身份标识和软件身份标识。本专利技术实施例具有如下优点:在网页端和内网上的业务之间设置网关,管理后台预先将网页端身份信息发送给网关进行存储,网关默认“拒绝一切”连接,只会接收网页端发来的第一个带网页端身份信息和根据网页端身份信息生成的第一签名的包,网关在网页端身份信息和第一签名的安全认证均通过时,才会允许网页端访问内网的相应地址。本专利技术通过网关可以实现内网隐身,使黑客难以攻击内网,重塑企业的安全边界,减少不必要的安全开支;此外,通过对网页端的访问请求的第一签名进行验证,可以有效防止网页端身份信息被篡改;用户可以像访问互联网一样,流畅地访问企业内网。附图说明为了更清楚地说明本专利技术的实施方式或现有技术中的技术方案,下面将对实施方式或现有技术描述中所需要使用的附图作简单地介绍。显而易见地,下面描述中的附图仅仅是示例性的,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图引伸获得其它的实施附图。本说明书所绘示的结构、比例、大小等,均仅用以配合说明书所揭示的内容,以供熟悉此技术的人士了解与阅读,并非用以限定本专利技术可实施的限定条件,故不具技术上的实质意义,任何结构的修饰、比例关系的改变或大小的调整,在不影响本专利技术所能产生的功效及所能达成的目的下,均应仍落在本专利技术所揭示的
技术实现思路
得能涵盖的范围内。图1为本专利技术实施例的内网访问方法的流程图;图2为本专利技术实施例的内网访问方法的工作原理图;图3为本专利技术实施例的内网访问系统的结构框图。具体实施方式以下由特定的具体实施例说明本专利技术的实施方式,熟悉此技术的人士可由本说明书所揭露的内容轻易地了解本专利技术的其他优点及功效,显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。图1为本专利技术实施例的内网访问方法的流程图。如图1所示,本专利技术实施例的内网访问方法,包括:S1:网关接收网页端发送的访问请求。其中,访问请求包括内网访问地址、网页端身份信息和第一签名,第一签名是根据网页端身份信息生成的。图2为本专利技术实施例的内网访问方法的工作原理图。如图2所示,网页端即用户通过浏览器登录以后的客户端。网关设置在网页端和内网应用之间,所有对业务系统的访问都是要经过网关的验证和过滤。管理后台为服务器,用来对所有的网页端进行管理,制定安全策略。管理后台可以与企业已有的身份管理系统对接。首先网页端使用单页Web应用(singlepagewebapplication,SPA)技术向管理后台发送请求。SPA技术就是只有一张Web页面的应用,是加载单个HTML页面并在用户与应用程序交互时动态更新该页面的Web应用程序。SPA技术速度快,让用户在webapp感受nativeapp的速度和流畅。接着管理后台验证网页端身份信息,返回授权、本文档来自技高网...
【技术保护点】
1.一种内网访问方法,其特征在于,包括:网关接收网页端发送的访问请求,所述访问请求包括内网访问地址、网页端身份信息和第一签名,所述第一签名是根据所述网页端身份信息生成的;所述网关对所述网页端身份信息和所述第一签名分别进行安全认证;如果所述网页端身份信息和所述第一签名均安全认证通过,则允许所述网页端访问所述内网访问地址。
【技术特征摘要】
1.一种内网访问方法,其特征在于,包括:网关接收网页端发送的访问请求,所述访问请求包括内网访问地址、网页端身份信息和第一签名,所述第一签名是根据所述网页端身份信息生成的;所述网关对所述网页端身份信息和所述第一签名分别进行安全认证;如果所述网页端身份信息和所述第一签名均安全认证通过,则允许所述网页端访问所述内网访问地址。2.根据权利要求1所述的内网访问方法,其特征在于,所述网关对所述网页端身份信息进行安全认证,包括:所述网关将所述网页端身份信息与预存的合法身份信息进行匹配,如果匹配成功,则所述网关对所述网页端身份信息的安全认证通过。3.根据权利要求1所述的内网访问方法,其特征在于,所述第一签名是所述网页端使用哈希消息认证码hmac加密算法对所述网页端身份信息进行加密得到的,所述网关对所述第一签名进行安全认证,包括:所述网关根据所述hmac加密算法根据所述网页端身份信息进行加密得到第二签名;如果所述第一签名与所述第二签名一致,则所述网关对所述第一签名的安全认证通过。4.根据权利要求1-3任一项所述的内网访问方法,其特征在于,还包括:所述网页端对所述访问请求使用数据加密标准DES加密方法加密所述访问请求;所述网关使用所述DES加密方法对应的解密方法进行解密得到所述访问请求。5.根据权利要求1所述的内网访问方法,其特征在于,所述网页端身份信息包括所述网页端的硬件...
【专利技术属性】
技术研发人员:陈本峰,付安龙,
申请(专利权)人:云深互联北京科技有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。